Tenable ブログ
ブログ通知を受信する
Juniperデバイスの深刻な脆弱性の修正がリリース
Juniperは、Junos、Junos Space、およびJATPデバイスの複数の深刻な脆弱性に対処しました。管理者には、影響を受けるJuniperデバイスを最新のOSバージョンにアップデートすることを推薦します。
背景
Juniperは今週、同社の多くのデバイスにわたる深刻な脆弱性に対する多数のセキュリティアドバイザリをリリースしました。Juniper Advanced Threat Prevention Appliance (JATP)アップデートはハードコードされた管理者資格情報を削除しますが、Junosアップデートはリモートコード実行(RCE)とサービス拒否(DoS)の脆弱性に対するパッチを含みます。Junos Spaceネットワーク管理デバイスは、DoS攻撃やRCE攻撃にもつながる可能性のあるメモリ割り当ての脆弱性に対しても脆弱です。
分析
JSA10918は、CVE-2017-11610、CVE-2018-0020、およびCVE-2019-0022を含むJuniperのATPの13の脆弱性を対処します。JuniperのATPは、ネットワーク上の悪意のある活動を検出して防止するように設計されたマルウェア防御アプライアンスです。攻撃者は、ハードコーディングされた管理者の資格情報を使用してこのデバイスにアクセスし、マルウェアに対するコア防御を無効にする可能性があります。
多くのJunosアップデートの中で、JSA10916で対処されているCVE-2017-7375およびCVE-2016-4448を悪用すると、リモートの認証されていない攻撃者が特別に細工したExtensible Markup Language(XML)パケットを送信して権限昇格やフォーマット文字列攻撃を引き起こす可能性があります。フォーマット文字列の脆弱性を悪用すると、デバイスがこのユーザー入力を単純なテキストとして読み取るべきときに攻撃者はコマンドを実行することができます。
Junos SpaceのJSA10917は、CVE-2018-1126に対処しますが、上記の同様のJunosの脆弱性に関連しています。攻撃者は、Junos Space Applianceなどのネットワーク管理デバイスを制御し、トラフィックを悪意のあるソースにリダイレクトし、さらに脆弱な資産に感染させる可能性があります。
ソリューション
Juniperは、影響を受ける可能性のあるデバイスまたはアプライアンスを最新のOSバージョンにアップデートすることを推薦しています。手動アップデートとアプライアンスの画像は、ジュニパーのダウンロードサイトから入手できます。
影響を受けているシステムの特定
これらの脆弱性を識別するためのNessusプラグインのリストは、リリースされるたびにこちらに表示されます。
詳細情報
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
Shifting the Paradigm: Why the Cyber Insurance Industry Should Focus on Preventive Security
May 13, 2024As claims and losses climb, it’s clear that preventive security should be prioritized more when designing a cyber insurance policy. Here’s why preventive security investments are cost effective and can lead to lower premiums.
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities
May 9, 2024Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.
- Threat Management
- Vulnerability Management